服务网格工程师考试试卷及答案

服务网格工程师考试试卷及答案一、填空题（共10题，每题1分）1.Istio的控制平面核心组件是________。2.服务网格的数据平面核心组件是________代理。3.mTLS的全称是________。4.服务网格可观测性的三个支柱是指标、日志和________。5.Istio中用于流量管理的核心配置资源是________。6.Sidecar注入分为自动注入和________注入两种方式。7.Kiali是Istio生态中用于________的工具。8.服务网格中服务间通信默认采用________模式（非代理/代理）。9.Istio的配置文件主要使用________格式。10.服务网格解决的核心问题是微服务间的________治理。二、单项选择题（共10题，每题2分）1.以下哪个不是Istio控制平面组件？A.istiodB.PilotC.EnvoyD.Citadel2.Sidecar容器与应用容器的部署关系是？A.同一Pod内B.同一Node不同PodC.不同NodeD.无固定关系3.Istio默认是否开启mTLS？A.是B.否C.仅生产环境开启D.需手动配置4.以下哪个属于服务网格可观测性工具？A.PrometheusB.DockerC.KubernetesD.Helm5.实现流量灰度发布的主要配置是？A.VirtualServiceB.ServiceEntryC.GatewayD.DestinationRule6.服务网格不直接解决的问题是？A.服务发现B.代码修改C.流量控制D.安全认证7.Istio控制平面的核心进程是？A.istiodB.EnvoyC.KialiD.Jaeger8.数据平面的主要职责是？A.配置管理B.服务发现C.流量转发D.证书管理9.以下哪个不是流量管理功能？A.流量拆分B.熔断C.重试D.容器编排10.服务实例发现依赖于？A.KubernetesServiceB.VirtualServiceC.Envoy配置D.手动配置三、多项选择题（共10题，每题2分，多选/少选不得分）1.Istio的核心组件包括？A.istiodB.EnvoyC.KialiD.Jaeger2.服务网格的优势有？A.解耦应用与基础设施B.统一流量治理C.零信任安全D.无需修改应用代码3.流量管理的常见功能包括？A.流量拆分B.熔断C.重试D.灰度发布4.可观测性的三个支柱是？A.指标B.日志C.链路追踪D.配置管理5.mTLS的作用包括？A.服务身份认证B.数据加密C.流量审计D.服务发现6.Sidecar注入的方式有？A.自动注入B.手动注入C.动态注入D.静态注入7.Istio中用于流量规则配置的资源有？A.VirtualServiceB.DestinationRuleC.GatewayD.ServiceEntry8.服务网格的部署模式包括？A.边车模式B.无边车模式C.混合模式D.集中式模式9.Kiali的功能包括？A.服务拓扑可视化B.流量监控C.配置管理D.链路追踪10.Envoy的特性包括？A.高性能代理B.动态配置C.多协议支持D.内置可观测性四、判断题（共10题，每题2分，√/×）1.Istio是服务网格的开源实现之一。（）2.Sidecar必须与应用容器部署在同一Pod中。（）3.Istio默认开启mTLS加密。（）4.服务网格可以解决微服务间的网络复杂性问题。（）5.可观测性仅需监控指标即可。（）6.流量拆分配置可实现灰度发布。（）7.控制平面负责数据流量的转发。（）8.数据平面负责配置的下发与管理。（）9.Istio的配置文件均为YAML格式。（）10.服务网格需要修改应用代码才能集成。（）五、简答题（共4题，每题5分）1.简述服务网格的核心架构及各部分作用。2.什么是Sidecar注入？有哪些常见实现方式？3.简述mTLS在服务网格中的作用及基本实现原理。4.服务网格的可观测性包含哪些核心内容？如何落地？六、讨论题（共2题，每题5分）1.微服务架构中，服务网格相比传统API网关有哪些关键优势？2.生产环境中，如何优化服务网格（如Istio）的性能？---答案部分一、填空题答案1.istiod2.Envoy3.双向TLS认证4.链路追踪5.VirtualService6.手动7.服务网格可视化8.代理9.YAML10.流量二、单项选择题答案1.C2.A3.B4.A5.A6.B7.A8.C9.D10.A三、多项选择题答案1.AB2.ABCD3.ABCD4.ABC5.AB6.AB7.ABCD8.ABC9.AB10.ABCD四、判断题答案1.√2.√3.×4.√5.×6.√7.×8.×9.√10.×五、简答题答案1.核心架构：控制平面+数据平面。-控制平面（如Istioistiod）：负责配置管理、服务发现、安全策略下发，统一治理规则；-数据平面（如Envoy）：部署在服务旁（Sidecar），负责实际流量转发、加密、监控，解耦应用与基础设施。2.Sidecar注入：自动/手动将代理容器与应用容器部署在同一Pod，无需修改应用代码。-自动注入：通过Kubernetes准入控制器，给Pod加标签后自动注入；-手动注入：直接在PodYAML中显式添加Sidecar配置。3.作用：服务间双向身份认证+数据加密，防中间人攻击。原理：控制平面为每个服务实例发唯一证书，Sidecar拦截请求并互认证，认证通过后用TLS加密传输。4.核心内容：指标、日志、链路追踪。落地：指标用Prometheus+Grafana；日志用ELK/Loki；链路追踪用Jaeger/Zipkin，采集全链路请求数据。六、讨论题答案1.关键优势：-全链路覆盖：管控所有服务间（东西向）+入口（南北向）流量，API网关仅管入口；-零代码集成：Sidecar自动接管，无需改应用；-细粒度控制：支持每个服务的熔断、重试，API网关多为全局规则；-全链路可观测：监控所有服务交互，API网关仅管入口请求。2.优化方法：-调优Sidecar资源：根据业务量设CPU/内存限制；-精简